Telehelsegianten Hims rammet av datainnbrudd som avslører medisinske journaler

Telehelseselskapet Hims & Hers Health har bekreftet et datainnbrudd som eksponerte noen av de mest sensitive kategoriene personopplysninger et selskap kan besitte: Beskyttet helseinformasjon (PHI). Innbruddet skjedde etter at trusselaktører fikk uautorisert tilgang til en tredjeparts kundestøtteplattform som selskapet benytter. Eksponerte data inkluderte informasjon fra kundestøttehenvendelser, som i en telehelsesammenheng betyr detaljer knyttet til resepter, medisinske konsultasjoner og personlige helseforhold.

Hackergruppen ShinyHunters har påtatt seg ansvaret for angrepet. Gruppen er godt kjent i cybersikkerhetsmiljøer for storstilte datatyverioperasjoner og har blitt knyttet til flere høyprofilerte datainnbrudd de siste årene. Deres involvering skaper umiddelbar bekymring for hva som skjer med de stjålne dataene videre, inkludert muligheten for utpressing, videresalg på mørke nettmarkeder eller målrettede phishing-kampanjer mot berørte brukere.

Hvorfor tredjepartsleverandører er et svakt ledd i helsesikkerheten

Et av de viktigste detaljene i dette innbruddet er hvor det skjedde: ikke inne i Hims' kjerneinfrasktruktur, men gjennom en tredjeparts kundestøtteplattform. Dette er et mønster som har blitt stadig mer vanlig og stadig mer alvorlig.

Store selskaper setter rutinemessig ut funksjoner som kundestøtte, fakturering og datalagring til spesialiserte leverandører. Hver av disse leverandørene blir en forlengelse av selskapets angrepsflate. Når en bruker registrerer seg for en teletjeneste, stoler de ikke bare på det selskapet med sine data. De stoler også på alle leverandører, kontraktører og programvareleverandører som selskapet samarbeider med.

Dette er særlig problematisk innen helsevesenet. I henhold til amerikansk lov er selskaper som håndterer PHI påkrevd å sikre at deres forretningspartnere og leverandører oppfyller HIPAA-kravene. Men samsvar på papiret oversettes ikke alltid til effektiv sikkerhet i praksis. Et ressurssterkt selskap som Hims kan investere tungt i sitt eget forsvar, mens det forblir eksponert gjennom en leverandør med svakere kontroller.

Hims-innbruddet er ikke et isolert tilfelle. Helse- og telehelseselskaper har blitt primære mål nettopp fordi dataene de besitter er så verdifulle. Medisinske journaler oppnår betydelig høyere priser på kriminelle markeder enn kredittkortnumre, fordi de inneholder informasjon som ikke lett kan endres og kan brukes til forsikringssvindel, identitetstyveri og målrettet sosial manipulasjon.

Hva dette betyr for deg

Hvis du er kunde hos Hims eller Hims & Hers, bør du anta at informasjon du delte gjennom kundestøttekanaler kan ha blitt eksponert. Dette kan inkludere navn, kontaktopplysninger og detaljer om medisinske konsultasjoner eller resepter du har diskutert med støtteteamet.

Mer generelt er dette innbruddet en nyttig påminnelse om risikoen som følger med lagring av sensitive personopplysninger i sentraliserte systemer. Telehelseplatformer er bygget rundt bekvemmelighet, og den bekvemmeligheten betyr ofte at helsedata konsolideres på måter som skaper attraktive mål for angripere. Jo mer data et selskap besitter, og jo flere leverandører det deler disse dataene med, jo større er den potensielle skadevirkningsradien når noe går galt.

Dette betyr ikke at du bør unngå teletjenester. For mange gir de tilgang til helsetjenester som ellers ville vært vanskelig eller kostbart å skaffe. Men det betyr at du bør tenke nøye over hvilken informasjon du deler via digitale helseplatformer, inkludert gjennom støttehenvendelser og chattefunksjoner, som kan lagres og behandles utenfor selskapets primære systemer.

Konkrete tiltak etter et helsedata-innbrudd

Hvis du bruker Hims & Hers eller en lignende telehelseplatform, er her noen konkrete tiltak det er verdt å ta nå:

  • Vær på vakt mot phishing-forsøk. Angripere som skaffer seg helserelaterte data bruker dem ofte til å utforme svært overbevisende phishing-meldinger. Vær skeptisk til uønskede e-poster eller meldinger som refererer til helseforhold, medisiner eller tidligere interaksjoner med plattformen.
  • Sjekk kontoene dine. Gjennomgå Hims-kontoen din og eventuelle tilknyttede betalingsmetoder for uvanlig aktivitet. Rapporter mistenkelig aktivitet til både plattformen og din finansinstitusjon.
  • Vær oppmerksom på identitetssvindel. Medisinsk identitetstyveri, der noen bruker informasjonen din for å skaffe resepter eller forsikringsytelser på svikaktig vis, kan være vanskelig å oppdage. Vurder å legge inn et svindelvarsling hos de store kredittbyråene og overvåke forsikringsutskriftene dine for tjenester du ikke har mottatt.
  • Begrens hva du deler i støttehenvendelser. Fremover bør du være bevisst på at kundestøttekanaler hos ethvert selskap kan håndteres av tredjepartsleverandører med sin egen sikkerhetsprofil. Unngå å dele mer informasjon enn strengt nødvendig.
  • Hold deg oppdatert om innbruddet. Følg med på offisiell kommunikasjon fra Hims om omfanget av hendelsen og eventuelle utbedringstiltak de tilbyr, som kreditovervåkingstjenester.

Datainnbrudd hos helseselskaper vil ikke forsvinne. Etter hvert som flere helsetjenester flyttes til nettet, vil mengden sensitiv medisinsk data som digitale plattformer besitter bare vokse. Å være en forsiktig og informert bruker av disse tjenestene er ett av de mest effektive forsvarsmidlene som er tilgjengelig for vanlige folk. Å forstå hvem som besitter dataene dine, og hva de gjør med dem, er et fornuftig utgangspunkt for å beskytte deg selv.